In einem Grundlagenkurs auf der Plattform EH Academy über digitale Forensik wurde die Linux Software „Digital Forensic Framework“ zur Analyse von Datenträgerabbildern unter Linux empfohlen. Dieses wird aber offenbar schon seit geraumer Zeit nicht mehr gepflegt und verweigerte auf meinem System die Installation.
Viel gebräuchlicher ist die hauptsächlich unter Windows genutzte Software FTK Imager der Firma Access Data zum Erstellen von physikalischen Images. Dass diese auch unter Linux verfügbar ist (auch wenn es sich nicht um Open Source Software handelt), habe ich gerade erst entdeckt.
Ebenfalls sehr gebräuchlich und ebenfalls kostenfrei zu beziehen ist die Software Autopsy als Teil des Sleuth Kits. Das Sleuth Kit besteht hauptsächlich aus Kommandozeilentools, welche ebenfalls auf Linux erhältlich sind. Die grafische Oberfläche für das Analysetool Autopsy blieb jedoch lange den Nutzern von Windows-Systemen vorbehalten. Auf Linux hatte man lediglich die Möglichkeit, auf die Web-Oberfläche des Tools zuzugreifen.
Ich habe also den Versuch gewagt, beide Tools auf meinem Manjaro-Laptop zu installieren, ein Abbild eines USB-Sticks zu erstellen und dieses dann mit Autopsy einzulesen.
Die Installation von FTK ist über das AUR im Paketmanager schnell erledigt. Über die Suchfunktion wird das Programm als „ftkimager“ angezeigt. Die Installation von Autopsy (Paket: „autopsy“) schlug zunächst mit der Meldung fehl, es stünde nicht genügend freier Speicherplatz zur Verfügung. Hier half es, die Größe der tmp-Partition vorrübergehend zu erhöhen:
sudo mount -o remount,size=4G,noatime /tmp
Anschließend lief auch diese Installation reibungslos durch. Das zu Grunde liegende Sleuth-Kit wird als Abhängigkeit automatisch mit installiert.
Nun sollte ein Abbild des USB-Sticks erstellt werden. Korrekterweise bräuchte es dazu einen Write-Blocker um Schreibzugriffe auf den Stick zu verhindern. Alternativ kann auch ein Kernel-Addon installiert werden, welches diese Aufgabe übernimmt. Da es sich hierbei nur um eine Übung handelt, habe ich jedoch darauf verzichtet. Linux Distributionen wie Deft oder Paladin bringen diese Kernel-Parameter übrigens schon mit.
Der FTK Imager kann unter Linux bisher nur im Terminal bedient werden. Der Startbefehl lautet:
ftkimager
Ohne weitere Attribute erhält man auf diesen Befehl eine Hilfeseite über die Funktionen des Tools. Hängt man „–list-drives“ an, werden die erkannten Laufwerke aufgelistet:
Sonderlich informativ ist diese Auflistung jedoch nicht. Über den boardeigenen Befehl:
fdisk -l
erhält man deutlich mehr Informationen.
Somit wird deutlich, dass es sich bei dem USB-Stick um das Gerät /dev/sdb handelt. Um nun ein Abbild des Sticks zu erstellen, muss der Befehl ftkimager um die gewünschten Attribute ergänzt werden:
ftkimager #Laufwerk #Speicherort --#Format --frag #Fragmentgröße --compress #Kompression --case-number #Fallnummer --evidence-number #Beweisnummer --description #Beschreibung --examiner #Untersuchender --notes #Notizen
Wobei die Attribute nach der Fragmentgröße optional sind und deren Werte in Anführungszeichen gesetzt werden sollten:
Die Erstellung des Images beginnt, nachdem der Befehl bestätigt wurde. Mit dem Atribut „–verify“ ließe sich das Image noch durch die MD5 und SHA1 Hashes verifizieren. Anschließend finden sich die Image Dateien im Zielverzeichnis. Als Image-Format wurde hier E01 (Encase Image File Format) gesetzt. Dabei handelt es sich um ein in der IT-Forensik gebräuchliches Format, welches durch die Firma Guidance Software Inc. für ihre Software-Suite Encase etabliert wurde.
Dabei wurde auch ein Log über die Image-Erstellung angelegt, welches die eingetragenen Attribute, Informationen über das Laufwerk und die generierten Hash-Werte enthält. Hätte man die Option der Verifizierung genutzt, fände sich auch hier das Ergebnis.
Dieses Image kann nun in Autopsy eingelesen werden. Das Paket aus dem AUR legte leider eine fehlerhafte Programmverknüpfung an. Diese muss nur entsprechend angepasst werden:
env TSK_HOME=/usr/bin /opt/autopsy/bin/autopsy
Anschließend kann das Programm gestartet und ein neuer Fall angelegt werden.
Insgesamt lässt sich Autopsy auch unter Linux gut bedienen. Je nach gewählter Einstellung kann der Einleseprozess recht lange dauern. Während des Image-Carvings reagierte mein Laptop immer wieder nicht mehr. Daran dürfte aber der recht schwachbrüstige i3-Prozessor Schuld sein.
Wem die Image-Erstellung mit FTK auf der Kommandozeile zu fummelig ist, der kann sich die Freeware „Guymager“ ansehen. Damit lassen sich über eine komfortable grafische Oberfläche ebenfalls Images im E01 Format erstellen und verifizieren. Der Vorteil von FTK besteht jedoch darin, dass sich das erstellte Image direkt verschlüsseln lässt.